一、背景介绍
7月21日,市委网信办技术支撑单位监测到Atlassian官方发布安全公告,修复了Atlassian产品中的多个高危漏洞,请相关用户采取措施进行防护。
1.1漏洞描述
任意Servlet过滤器绕过漏洞(CVE-2022-26136):Atlassian的多个产品中存在漏洞允许未经身份验证的远程攻击者绕过第一方和第三方应用程序所使用的Servlet过滤器,此漏洞可能导致身份验证绕过和XSS,使用的自定义Servlet过滤器和诱导用户点击恶意的URL,最终实现在用户的浏览器中任意执行Javascript代码。
Servlet过滤器调用漏洞(CVE-2022-26137):Atlassian的多个产品中存在Servlet过滤器调用漏洞,未经身份验证的远程攻击者在处理请求或响应程序时会调用额外的Servlet过滤器,攻击者可发送特制的HTTP请求实现对跨域资源共享(CORS)绕过。攻击者可以诱导用户点击恶意的URL,最终实现以受害者权限对受影响的应用程序进行访问。
Atlassian Confluence硬编码漏洞(CVE-2022-26138):当Confluence Server或Data Center上的Questions for Confluence app启用时,它会创建一个用户帐户。此帐户旨在帮助将数据从应用程序迁移到Confluence Cloud的管理员账号中。该帐户通过使用硬编码密码创建并添加到 confluence-users组中,在默认情况下允许查看和编辑Confluence中的所有非受限页面。未经身份验证攻击者可以利用所知的硬编码密码登录Confluence并访问该组有权限访问的所有页面。
1.2漏洞编号
CVE-2022-26136
CVE-2022-26137
CVE-2022-26138
1.3漏洞等级
高危
二、修复建议
2.1受影响版本:
CVE-2022-26136/CVE-2022-26137
Bamboo Server and Data Center:
<V7.2.9
V8.0.0<=V8.0.9
V8.1.0<=V8.1.8
V8.2.0<=V8.2.4
Bitbucket Server and Data Center:
<V7.6.16
V7.7.x-V7.16.x 内全部版本
V7.17.0<=V7.17.8
V7.18.x 内全部版本
V7.19.0<=V7.19.5
V7.20.0<=V7.20.2
V7.21.0<=V7.21.2
Bitbucket Server and Data Center
V8.0.0
V8.1.0
Confluence Server and Data Center:
<V7.4.17
V7.5.x-V7.12.x 内全部版本
V7.13.0<=V7.13.7
V7.14.0<=V7.14.3
V7.15.0<=V7.15.2
V7.16.0<=V7.16.4
V7.17.0<=V7.17.4
V7.18.0
Crowd Server and Data Center:
<V4.3.8
V4.4.0<=V4.4.2
V5.0.0
Crucible:
<V4.8.10
Fisheye:
<V4.8.10
Jira Server and Data Center:
<V8.13.22
V8.14.x-V8.19.x 内全部版本
V8.20.0<=V8.20.10
V8.21.x 内全部版本
V8.22.0<= V8.22.4
Jira Service Management Server and Data Center:
<V4.13.22
V4.14.x-V4.19.x 内全部版本
V4.20.0<=V4.20.10
V4.21.x 内全部版本
V4.22.0<=< V4.22.4
CVE-2022-26138
Confluence V2.7.34
Confluence V2.7.35
Confluence V3.0.2
2.2修复建议
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方
下载链接如下:
Bamboo Server and Data Center
https://www.atlassian.com/software/bamboo/download
Bitbucket Server and Data Center
https://www.atlassian.com/software/bitbucket/download-archives
Confluence Server and Data Center
https://www.atlassian.com/software/confluence/download-archives
Crowd
https://www.atlassian.com/software/crowd/download/data-center
Crucible
https://www.atlassian.com/software/crucible/download
Fisheye
https://www.atlassian.com/software/fisheye/download
Jira Service Management Server and Data Center
https://www.atlassian.com/software/jira/service-management/download-archives
Jira Software Server and Data Center
https://www.atlassian.com/software/jira/download-archives
Confluence
https://confluence.atlassian.com/upm/updating-apps-273875710.html